BaseチェーンでAIエージェントが資産窃取、17万ドル相当

ブロックチェーンセキュリティ企業スローミスト（SlowMist）がMediumブログを通じて、Base（Base）チェーンでAIエージェント間の信頼モデルの脆弱性を悪用したオンチェーン資産窃取が発生したと伝えた。窃取されたコインは30億DRB（17万4,570ドル、約2,700万円）規模である。 ハッカーはX（旧Twitter）でAIモデルのグロック（Grok）にモールス信号形式でプロンプト（命令）を入力し、自動化トレーディングエージェントのバンカー（Bankr）がこれを実行。Baseチェーン上で当該金額を不正に引き出した。今回のハッキングに使用された「グロックウォレット」はxAIが所有するものではなく、バンカーが自動生成したカストディウォレットだった。 スローミストは、バンカーがグロックの自然言語出力を実行可能な送金命令に直接マッピング（変換）する過程で、十分な実行者および実行意図の検証が不足しており、メンバーシップの有効化だけで高リスクの権限が付与されていたと指摘した。グロック自体は秘密鍵を保有しておらず、オンチェーン作業の実行主体でもなく、ツールとして悪用されたと付け加えている。 一方、盗難された資金は、ハッカーと被害者間の交渉により約80〜88％がUSDCおよびETHで被害者に返還され、残りは非公式のバグバウンティとして処理された。